《加密与解密》PE文件格式那章的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

《加密与解密》PE文件格式那章的问题

发表于: 2010-1-14 21:12 4009

《加密与解密》PE文件格式那章的问题

kzj

2010-1-14 21:12

4009

在编写PE文件分析工具那里，有一个ShowExportFuncsinfo,
这里

1	`pwOrds = (PWORD)RvaToPtr(pNtH, stMapFile.ImageBase,pExportDir->AddressOfNameOrdinals);`

为什么要定义成PWORD？AddressOfNameOrdinals不是DWORD类型的么？为哈么用WORD类型的指针？

pwOrds    = (PWORD)RvaToPtr(pNtH, stMapFile.ImageBase,pExportDir->AddressOfNameOrdinals);
    pdwRvas   = (PDWORD)RvaToPtr(pNtH, stMapFile.ImageBase,pExportDir->AddressOfFunctions);          //va
    pdwNames  = (PDWORD)RvaToPtr(pNtH, stMapFile.ImageBase,pExportDir->AddressOfNames);
 
    if(!pdwRvas)
        return;
   
    hList=GetDlgItem(hDlg,IDC_EXPORT_LIST);
    SendMessage(hList,LVM_SETEXTENDEDLISTVIEWSTYLE,0,(LPARAM)LVS_EX_FULLROWSELECT);
         
     
    iNumOfName=pExportDir->NumberOfNames;
 
    for( i=0;i<pExportDir->NumberOfFunctions;i++)       //i<AddressOfFunctions 中个元素个数
    {
        if(*pdwRvas)                         //AddressOfFunctions  VA != NULL
        {    
            for( j=0;j<iNumOfName;j++)                  // j < NumberOfNames
            {
                if(i==pwOrds[j])               //pwOrds is a pointer to AddressOfNameOrdinals
                {  
                    bIsByName=TRUE;
                    szFuncName=(char*)RvaToPtr(pNtH,stMapFile.ImageBase,pdwNames[j]);
                    break;
                }
                 
                bIsByName=FALSE;
            }

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

最新回复 (6)
ttthhh 雪币： 56 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 184 粉丝 0 关注私信	ttthhh 2 楼顶一下，我也想知道这个问题。高手请进 2010-1-14 21:18 0
blueapplez 雪币： 458 活跃值： (426) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼 RvaToPtr函数的返回值就是指针啊，有什么好奇怪的 2010-1-15 09:01 0
kusky 雪币： 666 活跃值： (201) 能力值： ( LV9，RANK：190 ) 在线值：发帖 36 回帖 271 粉丝 1 关注私信	kusky 4 4 楼我想你是不是把 AddressOfNameOrdinals 的数据类型和它作为指针所指向的数据类型搞混了？前者是一个指针，数据类型是 DWORD，后者是一个 index 值，数据类型是 WORD. AddressOfNameOrdinals: An RVA that points to a 16-bit array that contains the ordinals associated with the function names in the AddressOfNames array above. 2010-1-15 13:42 0
kzj 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	kzj 5 楼我想知道的是为什么要返回PWORD类型的指针而不是PDWORD类型 2010-1-15 13:49 0
kzj 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	kzj 6 楼这个明白了。AddressOfNameOrdinals是DWORD类型的，他指向WORD类型的值？ 2010-1-15 13:50 0
kusky 雪币： 666 活跃值： (201) 能力值： ( LV9，RANK：190 ) 在线值：发帖 36 回帖 271 粉丝 1 关注私信	kusky 4 7 楼正解。~~~~~~ 2010-1-21 15:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kzj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
ttthhh 雪币： 56 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 184 粉丝 0 关注私信	ttthhh 2 楼顶一下，我也想知道这个问题。高手请进 2010-1-14 21:18 0
blueapplez 雪币： 458 活跃值： (426) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼 RvaToPtr函数的返回值就是指针啊，有什么好奇怪的 2010-1-15 09:01 0
kusky 雪币： 666 活跃值： (201) 能力值： ( LV9，RANK：190 ) 在线值：发帖 36 回帖 271 粉丝 1 关注私信	kusky 4 4 楼我想你是不是把 AddressOfNameOrdinals 的数据类型和它作为指针所指向的数据类型搞混了？前者是一个指针，数据类型是 DWORD，后者是一个 index 值，数据类型是 WORD. AddressOfNameOrdinals: An RVA that points to a 16-bit array that contains the ordinals associated with the function names in the AddressOfNames array above. 2010-1-15 13:42 0
kzj 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	kzj 5 楼我想知道的是为什么要返回PWORD类型的指针而不是PDWORD类型 2010-1-15 13:49 0
kzj 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	kzj 6 楼这个明白了。AddressOfNameOrdinals是DWORD类型的，他指向WORD类型的值？ 2010-1-15 13:50 0
kusky 雪币： 666 活跃值： (201) 能力值： ( LV9，RANK：190 ) 在线值：发帖 36 回帖 271 粉丝 1 关注私信	kusky 4 7 楼正解。~~~~~~ 2010-1-21 15:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

《加密与解密》PE文件格式那章的问题

账号登录 验证码登录

账号登录

验证码登录